项目10 维护AD DS

1、Windows Server Windows Server 活动目录企业应用（微课版）活动目录企业应用（微课版）项目项目1010维护维护AD DSAD DS杨云杨云 主编主编10.1 10.1 相关知识相关知识10.1.1 10.1.1 系统状态概述系统状态概述Windows Server 2012 R2服务器的系统状态(system state)内所包含的数据，因服务器所安装的角色种类的不同而有所不同，例如其中可能包含下面的数据： 注册值 COM+类别注册数据库(Class Registration database) 启动文件（boot files） Active Directory征书服

2、务(AD CS)数据库 AD DS数据库(Ntds.dit) SYSVOL文件夹 群集服务信息 Microsoft Intemet Information Services( IIS) metadirectory 受Windows Resource Protection保护的系统文件10.1.2 AD DS数据库AD DS内的组件主要有AD DS数据库文件与SYSVOL文件夹，其中AD DS数据库文件默认位于%Systemroot%NTDS文件夹内，如图10-1所示。图10-1 AD DS数据库Ntds.dit：AD DS数据库文件，存储着此台域控制器的AD DS内的对象。Edb.log：它是

3、AD DS事务日志（扩展名.log默认会被隐藏），容量大小为10 MB。当您要更改AD DS内的对象时，系统会先将变更数据写入到内存（RAM）申，然后等系统空闲或关机时，再根据内存内中记录来将更新数据写入AD DS数据库（ntds.dit）。这种先在内存中处理的方式，可提高AD DS工件效率。系统也会将内存中数据的变化过程写到事务日志内（edb.log），若系统不正常关机（例如断电），以致于内存中尚未被写AAD DS数据库的更新数据遗失时，系统就可以根据事务日志，来推算出不正常关机前，在内存中的更新记录，并将这些记录写入AD DS数据库。如果事务日志填满了数据，则系统会将其改名，例如Edb00

4、001.log、Edb00002.log并重新建立一个事务日志。Edb.chk：它是检查点（checkpoint）文件。每一次系统将内存中的更新记录写入AD DS 数据库时，都会一并更新edb.chk它会记载事务日志的检查点。如果系统不正常关机，以致于内存中尚未被写入AD DS数据库的更新记录遗失，则下一次开机时，系统便可以根据edb.chk来得知需要从事务日志内的哪一个变动过程开始，来推算出不正常关机前内存中的更新记录，并将它们写入AD DS数据库。Edbres00001.jrs与edbres00002.jrs：这两个是预留文件，未来如果硬盘的空间不够时可以使用这两个文件，每个文件都是10

5、MB。10.1.3 SYSVOL文件夹文件夹SYSVOL文件夹位于%systemroot%内，此文件夹内存储着下面数据：脚本文件（scripts）、NETLOGON共享文件夹、SYSVOL共享文件夹与组策略相关设置。10.1.4 非授权还原非授权还原活动目录的备份一般使用微软自带的备份工具【Windows Server Backup】进行备份，活动目录有两种恢复模式：非授权还原和授权还原。1. 非授权还原非授权还原非授权还原可以恢复到活动目录到它备份时的状态，执行非授权还原后，有如下两种情况。 如果域中只有一个域控制器，在备份之后的任何修改都将丢失。例如，备份后添加了一个OU，则执行还原后，新

6、添加的OU不存在。 如果域中有多个域控制器，则恢复已有的备份并从其他域控制器复制活动目录对象的当前状态。例如，备份后添加了一个OU，则执行还原后，新添加的OU会从其他域控制器上复制过来，因此该OU还存在。如果备份后删除了一个OU，则执行还原后也不会恢复该OU，因为该OU的删除状态会从其他的域控制器上复制过来。2非授权还原实际应用场景非授权还原实际应用场景 如果企业的域控制器正常，只是想要还原到之前的一个备份，使用非授权还原可以轻易完成。 如果企业的域控制器出现崩溃且无法修复时，可以将服务器重新安装系统并升级为域控制器（IP地址和计算机名不变），然后通过目录还原模式并利用之前备份的系统状态进行还

7、原。10.1.5 授权还原授权还原当企业部署了额外域控制器时，如果主域控制器的内容和额外域控制器的内容不相同时，它们怎样进行数据同步呢？1. 域控制器数据同步域控制器数据同步当域控制器发现Active Directory的内容不一致时，它们会通过比较AD的优先级来浃定使用哪台DC的内容。Active Directory的优先级比较主要考虑以下3个方面的因素。 版本号：版本号指的是Active Directory对象修改时增加的值，版本号高者优先。例如，域中有两个域控制器DC1和DC2，当DC1创建了一个用户，版本号会随之增加，所以DC2会和DC1进行版本号比较，发现DC1的版本号要高些，所以D

8、C2就会向DC1同步Active Directory内容。 时间：如果DC1和DC2两个域控制器同时对同一对象进行操作，由于操作间隔相关很小，系统还来不及同步数据，因此它的版本号就是相同的。这种情况下两个域控制器就要比较时间因素，看哪个域控制器完成修改的时间靠后，时间靠后者优先。 GUID：如果DC1和DC2两个域控制器的版本号和时间都完全一致，这时就要比较两个域控制器的GUID了，显然这完全是个随机的结果。一般情况下，时间完全相同的非常罕见，因此GUID这个因素只是一个备选方案。授权还原就是通过增加时间版本，使得AD1授权恢复的数据变得更新而实现将误操作的数据推送给其他AD，而还原点时间之后

9、新增加的操作由于并不在备份文件中，会从其他DC重新写入到AD1中。2授权还原实际应用场景授权还原实际应用场景 当企业部署了多台域控制器时，如果想通过还原来恢复之前被误删的对象时，可以使用授权还原。如果企业有多台域控制器，将一台域控制器还原至一个旧的还原点时，之前的误删对象会暂时被还原，但是因为这台域控制器被还原到了一个旧的还原点，当接入域网络时，便会和其他域控制器进行版本比较，发现自己的版本较低便会同步其他域控制器的AD内容，将还原回来的对象再次删除，这样便无法还原被误删的对象。如果可以通过授权还原，也就是通过更改需要还原的对象的版本号，将其的值增加10万，使得它的版本号非常的高，当接入到网络

10、时，其他的AD域将会因为版本低而同步这个对象，从而实现误删对象的还原。3授权还原实例描述授权还原实例描述若域内只有一台域控制器，则只需要执行非授权还原即可，但是若域内有多台域控制器，则可能还需执行授权还原。例如域内有两台域控制器DC1与DC2，而且您曾经备份域控制器DC2的系统状态，可是今天不小心利用Active Directory管理中心控制台将用户账户”test_user2”删除了，之后这个变更数据会通过AD DS复制机制被复制到域控制器DC1，因此在域控制器DC1内的MIKE账户也会被删除。 若要救回被不小心删除的”TEST_USER2”账户，您可能会在域控制器DC2上利用标准的非授权还

11、原来将之前已经备份的旧”TEST_USER2”账户恢复，可是虽然在域控制器DC2内的”TEST_USER2”账户已被恢复，但是在域控制器DC1内的”TEST_USER2”却是被标记为已删除的账户，请问下一次DC1与DC2之间执行Active Directory复制程序时，将会有什么样的结果呢？ 答案是在DC2内刚被恢复的”TEST_USER2”账户会被删除，因为对系统来说，DC1内被标记为已删除的”TEST_USER2”的版本号码较高，而DC2内刚复原的”TEST_USER2”是旧的数据，其版本号码较低。两个对象有冲突时，系统会以戳记（stamp）来作为解决冲突的依据，因此版本号码较高的对象会

12、覆盖掉版本号码较低的对象。 若要避免上述现象发生，您需要另外再执行授权还原。当您在DC2上针对”TEST_USER2”账户另外执行授权还原后，这个被恢复的旧”TEST_USER2”账户的版本号码将被增加，而且是从备份当天开始到执行授权还原为止，每天增加100000，因此当DC1与DC2开始执行复制工作时，由于位于DC2的旧”TEST_USER2”账户的版本号码会比较高，所以这个旧”TEST_USER2”会被复制到DC1，将DC1内被标记为已删除的”TEST_USER2”覆盖掉，也就是说旧”TEST_USER2”被恢复了。10.2 10.2 项目设计及准备项目设计及准备10.2.1 10.2.1

13、 项目设计项目设计未名公司基于Windows Server 2012活动目录管理公司员工和计算机。活动目录的域控制器负责维护域服务，如果活动目录的域控制器由于硬件或软件方面原因不能正常工作时，用户将不能访问所需的资源或者登录到网络上，更为重要的是这将导致公司网络中所有与AD相关的业务系统、生产系统等都会停滞。通过定期对AD DS进行备份，当AD出现故障或问题时，就可以通过备份文件进行还原，修复故障或解决问题。因此，公司希望管理员定期备份AD活动目录服务。公司拓扑如图10-1所示。（注意：注意：DC1和和DC2位于同位于同一站点！一站点！）图10-1 公司拓扑图10.2.2 项目分析项目分析根据

14、企业项目需求，下面我们通过以下操作模拟企业AD的备份与还原过程。 在【技术部】OU中创建两个用户“test_user1”和“test_user2”，并对域控制器进行备份。 在部署单台域控制器环境中使用非授权还原被误删的【技术部】OU中的 “test_user1”用户。 在部署多台域控制器环境中使用授权还原被误删的【技术部】OU中的“test_user2”用户。 移动与重组AD DS数据库。 重设“目录服务还原模式”的系统管理员密码。 配置Active Directory回收站。10.3 项目实施10.3.1 任务任务1 备份备份AD DS（DC）您应该定期备份域控制器的系统状态，以便当域控制器

15、的AD DS损坏时，可以通过备份数据来恢复域控制器。 步骤1 首先您需要添加Windows Server Backup功能功能：【打开服务器管理器服务器管理器单击仪表板处的添加角色和功能添加角色和功能持续单击“下一步下一步”按钮直到出现如图10-2所示的界面时勾选Windows Server Backup单击“下一步下一步”按钮、“安装安装”按钮】。图10-2 添加Windows Server Backup功能 步骤 3在文件服务器（192.168.10.254）中创建一个名为【backup】的共享。 步骤 2 在DC1上的【技术部】OU下新建两个用户，分别为“test_user1”和“tes

16、t_user2”，如图10-3所示。图10-2在【技术部】OU下新建两个用户 步骤 4 在DC1的【服务器管理器】主窗口下，单击【工具】下的【Windows Server Backup】，在打开的对话框中右键单击【本地备份】，在弹出的快捷菜单中选择【一次性备份】，如图10-3所示。图10-3 【一次性备份】 步骤 5 在弹出的【一次性备份向导】中的【备份选项】选择【其他选项】并下一步，在【选择备份配置】中选择【自定义】并下一步，在【选择要备份的项】中选择【添加项目】，在弹出的【选择项】中勾选【系统状态】，如图10-4所示。图10-4备份系统状态 步骤 6 【指定目标类型】中选择【远程共享文件夹

17、】并下一步，在【指定远程文件夹】中的位置输入“192.168.10.254Backup”并单击“下一步”按钮，确认无误单击【备份】进行备份，如图10-5所示。图10-5 开始备份10.3.2 任务任务2 非授权还原（恢复非授权还原（恢复DC1系统状态）系统状态）步骤 1 在DC上将【技术部】OU下“test_user1”用户删除。 步骤 2重启域控制器DC1，按【F8】进入高级启动选项，选择【目录服务修复模式】，如图10-6所示 图10-6选择【目录服务修复模式】 步骤 3 在登录界面中不能使用域管理员账号登录，必须用本地的管理员账号登录。单击人像左侧的箭头图标，单击其他用户，然后如图10-7

18、所示输入目录服务还原模式目录服务还原模式的系统管理员的用户名称与密码来登录，其中用户名称可输入Administrator或DC1Administrator。图10-7 使用本地管理员登录 步骤 4 打开【Windows Server Backup】工具，在打开的对话框中右键单击【本地备份】，在弹出的快捷菜单中选择【恢复】，如图10-8所示。图10-5 【恢复】备份 步骤 5 在弹出的【恢复向导】中的【要用于恢复的备份存储在哪个位置？】选择【在其他位置存储备份】并下一步，在【指定位置类型】中选择【远程共享文件夹】并下一步，在【指定远程文件夹】中输入“192.168.10.254backup”并下

19、一步，在弹出的【Windows安全】中输入有权限访问共享的凭据，本例中输入的是文件文件服务器服务器ms1的管理员账户和密码的管理员账户和密码。如图10-6所示。 图10-6 【指定远程文件夹】及凭据 步骤 7 在【选择备份日期】中选择要还原的备份日期并单击“下一步下一步”按钮，在【选择恢复类型】中选择【系统状态】并下一步，在【选择系统状态恢复的位置】中选择【原始位置】并下一步，在弹出的提示单击【确定】，如图10-7所示。图10-7 【确认恢复向导】 步骤 7 核对恢复设置正确之后，单击【恢复】按钮，开始还原，过程将持续1530分钟，还原完成之后，会提示重新启动系统，如图10-8所示。图10-8

20、 正在还原 步骤 8 重启计算机完成后，使用域管理员账号登录，登录后出现图10-9所示界面，表示恢复已经成功。图10-9 非授权还原成功10.3.3 任务任务3 授权还原授权还原下面练习假设上述用户账户”test_user2”建立在域的组织单位【技术部】内，我们需要先执行非授权还原非授权还原，然后再利用ntdsutil命令来针对用户账户”test_user2”执行授杈还原。您可以按照下面的顺序来练习。在域控制器DC1上建立组织单位【技术部】，在【技术部】内建立用户账户”test_user2”等组织单位【技术部】、用户账户”test_user2”被复制到域控制器DC2在域控制器DC1上备份系统状

21、态在域控制器DC1上将用户账户”test_user2”删除（此账户会被移动到Deleted Objects容器内）等这个被删除的”test_user2”账户被复制到域控制器DC2，也就是等DC2内的”test_user2”也被删除（默认等15秒）在DC1上先执行非授权还原，然后再执行授权还原，它便会将被删除的”test_user2”账户恢复下面仅说明最后一个步骤，也就是先执行非授权还原非授权还原，然后再执行授权还原授权还原。 步骤 1在主域控制器（DC1）下将【技术部】OU下“test_user2”用户删除，稍待片刻，到额外域控制器下（DC2）上查看【技术部】OU下的用户，发现DC2上也只有用

22、户“test_user1”，“test_user2”用户已经被删除。重复前面10.3.2小节小节中的到 步骤2 到步骤7。注意不要执行步骤8，也就是完成恢复后，不要不要重新启动计算机。 步骤 3 继续在Windows PowerShell或命令提示符窗口下依次执行下面命令（完整的操作界面可参考图10-11）：Ntdsutil。 步骤 4 在ntdsutil：提示符下执行下面命令：activate instance ntds /表示要将域控制器的AD DS数据库设置为使用中。步骤 5 在ntdsutil：提示符下执行下面命令：authoritative restore 步骤 6 在authori

23、tative restore：提示符下，针对域的组织单位【技术部】内的用户“test_user2”执行授权还原，其命令如下所示：restore subtree CN=test_user2，ou=技术部，技术部，DC=long，DC=com 步骤 7在图10-10中单击“是（Y）”按钮。图10-10 授权还原确认图10-11为前面几个步骤的完整操作过程。图10-11 授权还原的部分操作过程 步骤 9 在authoritative restore：提示符下，执行quit命令。 步骤 10 在ntdsutil：提示符下，执行quit命令。 步骤 11 利用常规模式重新启动系统。 步骤 12 等域控制

24、器之间的AD DS自动同步完成，或利用Active Directory站点和服务手动同步，或执行下面命令来手动同步：repadmin /syncall /e /d /A /P其中/e表示包含所有站点内的域控制器，/d表示信息中以distinguished name( DN)来识别服务器，/A表示同步此域控制器内的所有目录分区，/P表示同步方向是将此域控制器（）的变动数据传送给其他域控制器。完成同步工作后，可利用Active Directory管理中心或者Active Directory用户和计算机来验证组织单位【技术部】内的用户账户“test_user2”是否已经被恢复。10.3.4 任务任务

25、4 移动移动AD DS数据库数据库AD DS数据库与事务日志的存储位置默认在%systemroot%NTDS文件夹内，然而一段时间以后，若硬盘存储空间不够或为了提高运行效率，有可能需要将AD DS数据库移动到其他位置。在此我们不采用不采用进入目录服务还原模式目录服务还原模式的方式，而是利用将AD DS服务停止服务停止的方式来进行AD DS数据库文件的移动工作此时必须是隶属于Administrators组的成员才有权限进行下面的操作。 我们需要利用ntdsuti.exe来移动AD DS数据库与事务日志，下面的练习假设要将它们都移动到C:NewNTDS文件夹。 步骤 1 打开命令提示符或Windo

26、ws PowerShell窗口。执行下面命令来停止AD DS服务：net stop ntds 步骤 2接着输入Y后按ENTER键。它也会将其他相关服务一起停止。 步骤 3 在命令提示符下执行下面命令（参考图10-12）：ntdsutil。在ntdsutil：提示符下执行下面命令：activate instance ntds表示要将域控制器的AD DS数据库设置为使用中。 步骤 4 在ntdsutil：提示符下，执行下面命令：files；在file maintenance：提示符下执行下面命令：info它可以检查AD DS数据库与事务日志当前的存储位置，由图10-12下方可知道它们目前都位于C:

27、WindowsNTDS文件夹内。图10-12 AD DS数据库所在文件夹：C:WindowsNTDS文件夹 步骤 5 在file maintenance：提示符下，执行下面命令，以便将数据库文件移动到C:NewNTDS：move db to C:NewNTDS；在file maintenance：提示符下，执行下面命令，以便将事务日志文件也移动到C:NewNTDS：MOVE LOGS TO c:NewNTDS。 步骤6 在file maintenance：提示符下，执行下面命令，以便执行数据库的完整性检查：integrity。在file maintenance：提示符下执行下面命令：quit。

28、若完整性检查成功的话，可跳到步骤13 ，否则请继续下面的步骤。 步骤 7 在ntdsutil：提示符下执行下面命令进行数据库语法分析（图10-13）：semantic database analysis 步骤 8 在semantic checker：提示符下执行下面命令，以便启用详细信息模式：verbose on。在semantk checker：提示符下执行下面命令，以便执行语义数据库分析工作：Go fixup。图10-13 AD DS数据库所在文件夹：C:WindowsNTDS文件夹 步骤 9 在semantic checker：提示符下执行下面命令：quit若语义数据库分析没有错误，可跳

29、到步骤13 ，否则继续下面的步骤。 步骤 10 在ntdsutil：提示符下执行下面命令（参考图10-33）：Files。 步骤11在file maintenance：提示符下执行下面命令，以便修复数据库：recover。 步骤12在fde maintenance：提示符下执行下面命令：quit。 步骤 13在ntdsutil：提示符下执行下面命令：quit。 步骤14回到命令提示符下执行下面命令，以便重新启动AD DS服务：net start ntds10.3.5 任务任务5 重组重组AD DS数据库数据库AD DS数据库的重组操作（defragmentation）会将数据库内的数据排列得更

30、整齐，让数据的读取速度更快，可以提高AD DS的工作效率。AD DS数据库的重组如下。在线重组：每一台域控制器会每隔12小时自动执行所谓的垃圾收集程序（garbage collection process），它会重组AD DS数据库。在线重组无法减少AD DS数据库文件（ntds.dit）的大小，而只是将数据有效率地重新整理、排列。由于此时AD DS还在工作中，因此这个重组操作被称为在线重组。另外，我们曾经说过一个被删除的对象并不会立刻被从AD DS数据库内删除，而是被移动到一个名为Deleted Objects的容器内，这个对象在180天以后才会被自动清除，而这个清除操作也是由垃圾收集程序所

31、负责的。虽然对象已被清除，不过腾出的空间并不会还给操作系统，也就是数据库文件的大小并不会减少。当您建立新对象时，该对象就会使用腾出的可用空间。脱机重组：脱机重组必须在AD DS服务停止或目录服务还原模式中手动进行，脱机重组会建立一个全新的、整齐的数据库文件，并会将已删除的对象所占用空间还给操作系统，因此可以腾出可用的硬盘空间给操作系统或其他应用程序来使用。下面将介绍如何来执行脱机重组的步骤请确认当前存储AD DS数据库的磁盘内有足够可用空间来存储脱机重组所需的缓存，请至少保留数据库文件大小的15%可用空间。还有重组后的新文件的存储位置，也需保留至少与原数据库文件大小的可用空间。下面假设原数据库

32、文件位于C:WindowsNTDS文件夹，而我们要将重组后的新文件存储到C:NTDSTemp文件夹。步骤1打开Windows PowerShell窗口。执行net stop ntds命令，输入Y后单击ENTER键来停止AD DS服务（它也会将其他相关服务停止）。步骤2在命令提示符下执行下面命令：ntdsutil；在ntdsutil：提示符下执行下面命令：activate instance ntds，表示要将域控制器的AD DS数据库设置为使用中；在ntdsutil:提示符下执行下面命令：files；在file maintenance：提示符下执行下面命令：info，它可以检查AD DS数据库与

33、事务日志当前的存储位置，默认都位于C:WindowsNTDS文件夹内。步骤3在file maintenance：提示符下，如图10-14所示执行下面命令，以便重组数据库文件，并将所产生的新数据库文件放到C:NTDSTTemp文件夹内（新文件的名称还是ntds.dit）：compact to C：NTDSTemp。图10-14 AD DS数据库所在文件夹：C:WindowsNTDS文件夹 步骤 4 暂时不要离开ntdsutil程序，打开文件资源管理器后执行下面几个步骤： 将原数据库文件C：WindowsNTDSntds.dit备份起来，以备不时之需。 将重组后的新数据库文件C:NTDSTempn

34、tds.dit复制到C:WindowsNTDS文件夹，并覆盖原数据库文件。 将原事务日志C:WindowsNTDS*.log删除。这3项内容可以在命令提示符命令提示符下完成（参考图10-15所示）,PWindows PowerShell窗口仍保持：Mkdir C:NTDSbackup /创建备份用的文件夹Copy c:windowsNTDSntds.dit C:ntdsbackupntds.dit /备份NTDS数据库文件Copy C:NTDSTempntds.dit C:WindowsNTDSntds.dit/重组数据库Del C:WindowsNTDS*.log/删除日志文件图10-15 在命令提示符下运行DOS命令 步骤 5 回到Windows PowerShell窗口，继续在ntdsutil程序的frle maintenance：提示符下，执行下面命令，以便执行数据库的完整性检查：integrity，由，由Integrity check successful可知完整性检查成功。步骤 6在file maintenance：提示符下执行